CSP Analizörü

Herhangi bir URL için Content-Security-Policy (CSP) ve Content-Security-Policy-Report-Only başlıklarını analiz edin. Riskli direktifleri (unsafe-inline, joker karakterler), eksik nonce/hash stratejilerini, kullanımdan kalkmış kalıpları tespit edin ve XSS savunmalarını güçlendirmek için uygulanabilir öneriler alın. Yönlendirmeleri takip etme, ham başlık inceleme, filtreleme, bulgular ve JSON/PDF dışa aktarma desteği sunar.

Loading…

Hakkında CSP Analizörü

CSP başlıklarını incelemek ve politikanın sizi XSS ve enjeksiyonlara karşı gerçekten koruyup korumadığını hızlıca görmek için bir URL yapıştırın. Bu analizör, tehlikeli izinleri (unsafe-inline veya geniş joker karakterler gibi) vurgular, eksik olanları (nonce/hash stratejisi, çerçeve kısıtlamaları) açıklar ve report-only'yi güvenle kullanarak pratik, dağıtılabilir bir CSP'ye geçişinize yardımcı olur.

Özellikler

Content-Security-Policy ve Content-Security-Policy-Report-Only başlıklarını tespit edin ve açıklayın.
Yaygın CSP tuzaklarını işaretleyin: unsafe-inline, unsafe-eval, geniş joker karakterler ve aşırı izin veren kaynaklar.
Nonce ve hash tabanlı stratejilerle daha güvenli script/style çalıştırma rehberliği.
Gerçek dünya güçlendirmesinde genellikle önemli olan eksik direktifleri belirleyin (örneğin, frame-ancestors, object-src, base-uri).
Report-Only içgörüleri: neyin engelleneceğini ve CSP'yi üretimi bozmadan nasıl uygulayacağınızı anlayın.
Tarayıcıların uyguladığı son yanıt politikasını analiz etmek için yönlendirmeleri takip edin (en fazla 10).
Tam sunucu çıktısı ve hata ayıklama için ham başlıklar görünümü.
Bulgular + "sadece sorunlar" filtrelemesi ile puan kartı.
Denetimler, biletler ve güvenlik incelemeleri için analizi JSON veya PDF olarak dışa aktarın.
Eski politikaları ve geçiş ihtiyaçlarını yakalamak için kullanımdan kalkmış başlık farkındalığı içerir.

🧭 Nasıl kullanılır for csp-analyzer

Analiz edilecek URL'yi girin

Kontrol etmek istediğiniz sayfa URL'sini yapıştırın (genellikle ana sayfanız veya uygulama kabuğunuz).

Gerekirse yönlendirme takibini etkinleştirin

Analizörün gerçek CSP'nin döndürüldüğü son HTTPS/www/yerel hedefe ulaşması için "Yönlendirmeleri Takip Et" seçeneğini etkin tutun.

Puan kartını ve bulguları inceleyin

Kritik riskleri (unsafe-inline, joker karakterler, eksik kısıtlamalar) tespit etmek ve hangi direktiflerin puanı etkilediğini anlamak için bulgularla başlayın.

Hata ayıklarken ham başlıkları inceleyin

Tam başlık adlarını/değerlerini doğrulamak için "Ham Başlıkları Göster" seçeneğini açın (birden fazla CSP başlığı varsa veya bir proxy/CDN bunları değiştiriyorsa kullanışlıdır).

Güvenlik iş akışınız için bir rapor dışa aktarın

Otomasyon için JSON'ı veya güvenlik denetimleri ve mühendislik biletleri için PDF'yi indirin.

Teknik özellikler

İstek modeli

Bu araç, bir URL başlık incelemesi gerçekleştirir ve CSP ve report-only politikaları dahil olmak üzere güvenlik başlığı analizine odaklanır.

Ayar	Davranış	Varsayılan
Yönlendirmeleri Takip Et	Son URL tarafından döndürülen etkin politikayı analiz etmek için yönlendirme zincirini takip eder	Etkin
Maksimum Yönlendirme	Döngüleri önlemek için yönlendirme sınırı	10
Zaman Aşımı	İstek zaman aşımı sınırı	15000 ms
Kullanıcı Aracısı	İsteğin kullanıcı aracısını tanımlar	Encode64Bot/1.0 (+https://encode64.com)
Özel ağlar	Güvenlik için özel ağ aralıklarına erişimi engeller	Devre dışı (özel ağlara izin verilmez)

İncelenen CSP başlıkları

Analizci, hem zorunlu hem de zorunlu olmayan politikaları kontrol eder ve bunları okunabilir bir biçimde sunar.

Başlık	Anlam
Content-Security-Policy	Tarayıcı tarafından uygulanan zorunlu politika
Content-Security-Policy-Report-Only	İhlalleri raporlayan engellemeyen politika (yayılım ve ayarlama için kullanışlıdır)

Siteler birden fazla CSP başlığı yayınlayabilir. Tarayıcılar karmaşık olabilen birleştirme/öncelik kurallarını uygular—ham başlıklar gönderilenleri doğrulamaya yardımcı olur.

Analizin aradıkları

Bulgular, pratik CSP güçlendirme kontrollerine ve yaygın dağıtım hatalarına dayanır.

Alan	Bulguların örnekleri
Komut dosyası politikası gücü	unsafe-inline / unsafe-eval kullanımı, joker karakter kaynakları, eksik nonce/hash stratejisi
Stil politikası gücü	unsafe-inline stilleri, aşırı geniş kaynaklar, mümkün olduğunda nonce/hash'lere geçiş yolunun eksikliği
Çerçeveleme ve tıklama hırsızlığına karşı direnç	Eksik veya zayıf çerçeve kısıtlamaları (genellikle frame-ancestors aracılığıyla)
Eski / kullanımdan kaldırılmış kalıplar	Modernleştirilmesi gereken eski yönergeler veya kalıplar
Yayılım hazırlığı	Yalnızca Rapor modu varlığı ve raporlama uç noktaları görünürlüğü

Komut satırı

CSP başlıklarını hızlıca incelemek için bu komutları kullanın. Analizörün raporladıklarını doğrulamak için kullanışlıdırlar.

macOS / Linux

Yanıt başlıklarını getir (CSP'yi ara)

curl -I https://example.com

Yanıt başlıklarında Content-Security-Policy ve Content-Security-Policy-Report-Only'yi inceleyin.

Başlıkları kontrol ederken yönlendirmeleri takip et

curl -IL https://example.com

Nihai hedeften (HTTPS, www, uygulama kabuğu rotası) gelen CSP başlıklarını görmenizi sağlar.

Yalnızca CSP başlıklarını göster (büyük/küçük harf duyarsız eşleşme)

curl -I https://example.com | grep -i "content-security-policy"

CSP ve yalnızca rapor başlıklarını tam başlık kümesinden hızla ayırır.

Windows (PowerShell)

CSP başlıklarını incele

$r = Invoke-WebRequest -Uri https://example.com -Method Head; $r.Headers['Content-Security-Policy']; $r.Headers['Content-Security-Policy-Report-Only']

Varsa, uygulama ve yalnızca rapor CSP başlıklarını görüntüler.

Yeni politikaları önce Yalnızca Rapor modunda dağıtın, ihlal raporlarını gözden geçirin, ardından sıkılaştırın ve uygulayın. Modern uygulamalar için CSP ayarlaması yinelemelidir.

Kullanım durumları

Bir siteyi XSS'e karşı güçlendirin

Betiklerin/stillerin nereden yüklenebileceğini ve satır içi kodun nasıl işlendiğini kısıtlayarak enjeksiyon güvenlik açıklarının etkisini azaltmak için CSP kullanın.

Güvensiz satır içi/güvensiz değerlendirme kullanımlarını belirleyin ve nonce/karma değerlere geçiş planı yapın
script-src/style-src kaynaklarını güvenilir kökenlerle sınırlayın
Eksik savunma yönergelerini ekleyin (base-uri, object-src, frame-ancestors)

CSP'yi Yalnızca Rapor ile güvenli şekilde yayınlayın

Content-Security-Policy-Report-Only ile başlayıp ihlaller üzerinde yineleme yaparak CSP'yi üretimi bozmadan kademeli olarak tanıtın.

Yalnızca rapor politikası varlığını tespit edin
Uygulamadan önce neyin engelleneceğini anlayın
Yayın planınız ve talepleriniz için bir rapor dışa aktarın

Bozuk betikleri, iframe'leri veya üçüncü taraf araçları hata ayıklayın

Aşırı katı CSP, analitikleri, gömülü içerikleri veya API bağlantılarını engelleyebilir. Politikaların neye izin verdiğini ve açık kaynaklara nerede ihtiyaç duyabileceğinizi görmek için analizörü kullanın.

İzin verilen betik/resim/bağlantı/çerçeve kaynaklarını doğrulayın
Hızlı çözüm olarak eklenen aşırı geniş joker karakterleri tespit edin
Geniş izinleri hedeflenmiş alan adlarıyla değiştirin

Güvenlik incelemesi / uyumluluk kanıtı

Güvenlik incelemeleri, müşteri anketleri veya dahili uyumluluk için mevcut CSP durumunun tutarlı bir raporunu oluşturun.

Zaman içindeki değişiklikleri takip etmek için JSON indir
Denetim kanıtları ve paylaşım için PDF indir

❓ Frequently Asked Questions

❓CSP nedir ve neye karşı koruma sağlar?

İçerik Güvenlik Politikası (CSP), kaynakların nereden yüklenebileceğini ve betiklerin/stillerin nasıl çalıştırılabileceğini kısıtlayan tarayıcı tarafından uygulanan bir güvenlik katmanıdır. Temel olarak siteler arası betik çalıştırma (XSS) ve enjeksiyon saldırılarının etkisini azaltmak için kullanılır.

❓CSP ile CSP Report-Only arasındaki fark nedir?

Content-Security-Policy uygulanır (engelleyebilir). Content-Security-Policy-Report-Only engellemez; politikanızı uygulamadan önce ayarlayabilmeniz için ihlalleri raporlar.

❓Neden unsafe-inline tehlikeli kabul edilir?

unsafe-inline satır içi betikleri/stillere izin verir ve bu da CSP'nin enjekte edilmiş kodu durdurma yeteneğini zayıflatır. Daha güvenli yaklaşımlar, beklenmeyen enjeksiyonları engellerken yalnızca bilinen satır içi bloklara izin vermek için nonce veya hash kullanır.

❓Nonce veya hash'lere ihtiyacım var mı?

Uygulamanız satır içi betikler veya stiller kullanıyorsa, nonce/hash'ler işlevselliği bozmadan CSP'yi etkili tutmanın modern yoludur. Belirli satır içi bloklara izin verirken keyfi enjeksiyonu önlerler.

❓Bir CDN veya vekil sunucu CSP başlığımı değiştirebilir mi?

Evet. Kenar katmanları başlıkları ekleyebilir, birleştirebilir veya geçersiz kılabilir. Tutarsız bir şey görürseniz, ham başlıkları etkinleştirin ve son yanıt başlıklarını doğrulamak için yönlendirmeleri takip edin.

❓CSP, XSS hatalarını düzeltmenin yerini alır mı?

Hayır. CSP derinlemesine savunma kontrolüdür. Yine de uygun çıktı kodlaması, güvenli şablonlama ve girdi doğrulamasına ihtiyacınız var. CSP, bir şey sızarsa patlama yarıçapını azaltır.

❓URL'leri buraya yapıştırmak güvenli mi?

Araç, sağlanan URL'ye sunucu tarafı istekleri yapar ve özel ağ hedeflerini engeller. URL'lere gizli bilgiler koymaktan (sorgu dizelerindeki token'lar gibi) kaçının ve güvendiğiniz genel URL'leri tercih edin.

Pro Tips

Best Practice

Content-Security-Policy-Report-Only ile başlayın, ihlalleri toplayın, ardından sıkılaştırın ve uygulayın. CSP gerçek uygulamalar için yinelemelidir.

Best Practice

unsafe-inline'ı nonce veya hash stratejisiyle değiştirin. Politikalarınızı açık ve asgari düzeyde tutun.

Best Practice

Tıklama hırsızlığı riskini azaltmak için frame-ancestors ekleyin ve yalnızca eski başlıklara güvenmekten kaçının.

Best Practice

Hızlı çözüm olarak geniş joker karakterlerden kaçının. Betikler/görseller/bağlantılar için hedeflenmiş alan adlarını tercih edin ve üçüncü taraf ihtiyaçlarını gözden geçirin.

CI Tip

Bir JSON raporu dışa aktarın ve CSP değişikliklerini CI'da takip edin, böylece başlıklar CDN/uygulama güncellemeleriyle değiştirildiğinde gerilemeleri yakalarsınız.